Огляд атаки на кросчейн міст: збитки майже 2 мільярди доларів, відшкодування понад 1,5 мільярда доларів
Останнім часом, внаслідок швидкого розвитку екосистеми блокчейн, кросчейн міст став важливою інфраструктурою, що з'єднує різні публічні блокчейн. Однак, через те, що він зберігає велику кількість коштів і часто здійснює крос-ланцюгові операції, кросчейн міст також став популярною мішенню для хакерських атак. У цій статті буде розглянуто 10 значних атак на кросчейн мости, що сталися нещодавно, узагальнено їхні причини та наслідки, а також заходи, вжиті різними проектами.
ChainSwap: Два напади завдали збитків на майже 9 мільйонів доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша атака призвела до втрат приблизно 800 тисяч доларів, друга ж — до втрат у 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюг.
Дослідження показують, що атака походила від того, що протокол не зміг строго перевірити дійсність підписів, що призвело до того, що зловмисники могли використовувати підписи, згенеровані ними, для виконання транзакцій. Оскільки основні втрати понесені в токенах управління, ChainSwap та кілька постраждалих проектів обрали зробити знімок і перевипустити токени, щоб компенсувати втрати тримачів токенів та постачальників ліквідності.
Poly Network: 6,1 мільярда доларів США були вкрадені, але повернуті в повному обсязі
10 серпня 2021 року кросчейн протокол Poly Network зазнав найбільшої в той час атаки DeFi, внаслідок чого було втрачено близько 610 мільйонів доларів США активів на трьох мережах: Ethereum, Binance Smart Chain та Polygon.
Зловмисники скористалися вразливістю в логіці управління правами контракту Poly Network, успішно замінивши адресу валідатора цільового ланцюга, тим самим отримавши право на переказ активів. Незважаючи на високий рівень техніки атаки, хакер врешті-решт вирішив повернути всі кошти, а Poly Network також назвав його "білим капелюшником" і запросив обійняти посаду головного консультанта з безпеки компанії.
Multichain: втрата 6000000 доларів, часткове відшкодування вже здійснено
У січні 2022 року Multichain виявив суттєву вразливість, що вплинула на кілька токенів. Хоча вразливість була своєчасно усунена, все ж було вкрадено близько 6,04 мільйона доларів США в WETH та AVAX.
Проблема полягала в тому, що Multichain неправильно перевірила законність токенів, переданих користувачем, що призвело до того, що WETH деяких користувачів було переведено на зловмисну адресу, створену зловмисником. Команда Multichain успішно повернула близько 50% вкрадених коштів і запропонувала план компенсації, але лише для користувачів, які відкликали авторизацію до вказаної дати.
QBridge: 80 мільйонів доларів США збитків, лише незначні виплати
В кінці січня 2022 року кросчейн міст QBridge платформи кредитування Qubit зазнав атаки, внаслідок чого було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge при обробці переказів токенів зі списку білого, успішно створивши велику кількість xETH токенів на BSC з нічого, і використавши ці токени для отримання інших активів від Qubit.
На даний момент, використання Qubit значно знизилося, офіційні дані показують, що досі 98% вкрадених коштів не було повернуто.
Meter.io: збитки в розмірі 4,4 мільйона доларів, обіцянка компенсації майбутнього доходу
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Джерело атаки полягало в "помилкових припущеннях довіри", які виникли під час розширення оригінального коду Meter, що дозволило хакерам підробляти перекази BNB та ETH.
Команда Meter спочатку планувала компенсувати збитки користувачів за допомогою токенів MTRG, але пізніше вирішила випустити нові токени PASS як компенсацію та пообіцяла викупити ці токени за рахунок майбутніх доходів. Проте до сьогодні не було проведено жодної операції з викупу.
Ronin: вкрадено 6,2 мільйона доларів, виплачено в повному обсязі
У березні 2022 року блокчейн Ronin, який стоїть за Axie Infinity, зазнав значної атаки з втратами до 620 мільйонів доларів. Ця атака включала складні соціально-інженерні методи, хакери, маскуючись під рекрутингову компанію, успішно проникли в мережу Ronin і отримали контроль над кількома вузлами верифікації.
Хоча вкрадені кошти не були повернуті, компанія Sky Mavis, що стоїть за Ronin, швидко залучила 150 мільйонів доларів для компенсації втрат користувачів. Варто зазначити, що через різке падіння ціни ETH під час атаки до моменту компенсації, фактична вартість компенсації, яку отримали користувачі, була нижчою за вартість активів на момент крадіжки.
Wormhole: збитки 326 мільйонів доларів, отримано повну компенсацію
На початку лютого 2022 року кросчейн протокол Wormhole зазнав атаки, внаслідок якої було вкрадено приблизно 120 000 ETH на суму 326 мільйонів доларів. Зловмисник скористався вразливістю перевірки підпису в основному контракті Wormhole на стороні Solana, успішно підробивши повідомлення "опікуна", щоб створити велику кількість whETH.
На щастя, Jump Crypto, що стоїть за Wormhole, швидко інвестував 120 000 ETH, повністю компенсувавши втрати, що дозволило Wormhole швидко відновити свою роботу.
EvoDeFi: оцінка збитків понад десять мільйонів доларів, не вирішено
У червні 2022 року в екосистемі Oasis на DEX ValleySwap виникла серйозна проблема з девальвацією USDT, що призвело до великих втрат користувачів. Проблема виникла через недостатню ліквідність на вихідному ланцюзі кросчейн моста EVODeFi, який використовувався ValleySwap.
Хоча точна сума збитків невідома, оцінюється в десятки мільйонів доларів. На жаль, усі зацікавлені сторони намагаються уникнути відповідальності, і користувачі досі не отримали жодних компенсацій або рішень.
Horizon: втрати майже 100 мільйонів доларів, план компенсації все ще розробляється
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, внаслідок чого було втрачено приблизно 100 мільйонів доларів. Розслідування показало, що атака могла бути викликана витоком приватного ключа.
Команда Harmony пропонувала поступово компенсувати збитки користувачів протягом 3 років за рахунок емісії токенів ONE, але ця пропозиція не отримала підтримки спільноти. Наразі розробляється новий план компенсації.
Nomad: вкрадено 190 мільйонів доларів, частину коштів можна повернути
У серпні 2022 року кросчейн протокол Nomad зазнав серйозної безпекової аварії, що призвела до втрати 190 мільйонів доларів. Атака стала наслідком значної помилки під час оновлення контракту, яка дозволила будь-кому виводити кошти з моста.
Ця подія стосується великої кількості адрес, серед яких є й користувачі ENS доменів. Хоча офіційні органи ще не надали чіткий план компенсації, вже є кілька білих капюшонів, які висловили бажання повернути кошти, що приносить надію на остаточне вирішення.
Підсумок
Оглядаючи ці цілу низку значних атак на кросчейн мости, ми можемо побачити:
Кросчейн міст все ще є високоризиковою областю в екосистемі DeFi, навіть відомі проекти не застраховані від атак.
Причини атак різноманітні, включаючи вразливості контрактів, проблеми з управлінням правами, атаки соціальної інженерії тощо, команди проекту повинні всебічно посилити безпеку.
Фон проекту та фінансова спроможність є критично важливими для подальшої обробки. Сильні проекти зазвичай можуть швидко залучити кошти для компенсації, тоді як малі проекти можуть стикатися з труднощами.
Реальний моніторинг та швидка реакція можуть ефективно знизити збитки. Деякі проекти успішно уникли масових атак завдяки своєчасному виявленню та обробці підозрілої активності.
Користувачі повинні бути обережними при виборі кросчейн мосту, надаючи перевагу проектам з сильними позиціями та фондів, а також своєчасно звертати увагу на попередження та оновлення безпеки від проекту.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
кросчейн міст атаки завдали збитків майже 2 мільярди доларів, 1.5 мільярда доларів вже компенсовано
Огляд атаки на кросчейн міст: збитки майже 2 мільярди доларів, відшкодування понад 1,5 мільярда доларів
Останнім часом, внаслідок швидкого розвитку екосистеми блокчейн, кросчейн міст став важливою інфраструктурою, що з'єднує різні публічні блокчейн. Однак, через те, що він зберігає велику кількість коштів і часто здійснює крос-ланцюгові операції, кросчейн міст також став популярною мішенню для хакерських атак. У цій статті буде розглянуто 10 значних атак на кросчейн мости, що сталися нещодавно, узагальнено їхні причини та наслідки, а також заходи, вжиті різними проектами.
ChainSwap: Два напади завдали збитків на майже 9 мільйонів доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша атака призвела до втрат приблизно 800 тисяч доларів, друга ж — до втрат у 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюг.
Дослідження показують, що атака походила від того, що протокол не зміг строго перевірити дійсність підписів, що призвело до того, що зловмисники могли використовувати підписи, згенеровані ними, для виконання транзакцій. Оскільки основні втрати понесені в токенах управління, ChainSwap та кілька постраждалих проектів обрали зробити знімок і перевипустити токени, щоб компенсувати втрати тримачів токенів та постачальників ліквідності.
Poly Network: 6,1 мільярда доларів США були вкрадені, але повернуті в повному обсязі
10 серпня 2021 року кросчейн протокол Poly Network зазнав найбільшої в той час атаки DeFi, внаслідок чого було втрачено близько 610 мільйонів доларів США активів на трьох мережах: Ethereum, Binance Smart Chain та Polygon.
Зловмисники скористалися вразливістю в логіці управління правами контракту Poly Network, успішно замінивши адресу валідатора цільового ланцюга, тим самим отримавши право на переказ активів. Незважаючи на високий рівень техніки атаки, хакер врешті-решт вирішив повернути всі кошти, а Poly Network також назвав його "білим капелюшником" і запросив обійняти посаду головного консультанта з безпеки компанії.
Multichain: втрата 6000000 доларів, часткове відшкодування вже здійснено
У січні 2022 року Multichain виявив суттєву вразливість, що вплинула на кілька токенів. Хоча вразливість була своєчасно усунена, все ж було вкрадено близько 6,04 мільйона доларів США в WETH та AVAX.
Проблема полягала в тому, що Multichain неправильно перевірила законність токенів, переданих користувачем, що призвело до того, що WETH деяких користувачів було переведено на зловмисну адресу, створену зловмисником. Команда Multichain успішно повернула близько 50% вкрадених коштів і запропонувала план компенсації, але лише для користувачів, які відкликали авторизацію до вказаної дати.
QBridge: 80 мільйонів доларів США збитків, лише незначні виплати
В кінці січня 2022 року кросчейн міст QBridge платформи кредитування Qubit зазнав атаки, внаслідок чого було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge при обробці переказів токенів зі списку білого, успішно створивши велику кількість xETH токенів на BSC з нічого, і використавши ці токени для отримання інших активів від Qubit.
На даний момент, використання Qubit значно знизилося, офіційні дані показують, що досі 98% вкрадених коштів не було повернуто.
Meter.io: збитки в розмірі 4,4 мільйона доларів, обіцянка компенсації майбутнього доходу
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Джерело атаки полягало в "помилкових припущеннях довіри", які виникли під час розширення оригінального коду Meter, що дозволило хакерам підробляти перекази BNB та ETH.
Команда Meter спочатку планувала компенсувати збитки користувачів за допомогою токенів MTRG, але пізніше вирішила випустити нові токени PASS як компенсацію та пообіцяла викупити ці токени за рахунок майбутніх доходів. Проте до сьогодні не було проведено жодної операції з викупу.
Ronin: вкрадено 6,2 мільйона доларів, виплачено в повному обсязі
У березні 2022 року блокчейн Ronin, який стоїть за Axie Infinity, зазнав значної атаки з втратами до 620 мільйонів доларів. Ця атака включала складні соціально-інженерні методи, хакери, маскуючись під рекрутингову компанію, успішно проникли в мережу Ronin і отримали контроль над кількома вузлами верифікації.
Хоча вкрадені кошти не були повернуті, компанія Sky Mavis, що стоїть за Ronin, швидко залучила 150 мільйонів доларів для компенсації втрат користувачів. Варто зазначити, що через різке падіння ціни ETH під час атаки до моменту компенсації, фактична вартість компенсації, яку отримали користувачі, була нижчою за вартість активів на момент крадіжки.
Wormhole: збитки 326 мільйонів доларів, отримано повну компенсацію
На початку лютого 2022 року кросчейн протокол Wormhole зазнав атаки, внаслідок якої було вкрадено приблизно 120 000 ETH на суму 326 мільйонів доларів. Зловмисник скористався вразливістю перевірки підпису в основному контракті Wormhole на стороні Solana, успішно підробивши повідомлення "опікуна", щоб створити велику кількість whETH.
На щастя, Jump Crypto, що стоїть за Wormhole, швидко інвестував 120 000 ETH, повністю компенсувавши втрати, що дозволило Wormhole швидко відновити свою роботу.
EvoDeFi: оцінка збитків понад десять мільйонів доларів, не вирішено
У червні 2022 року в екосистемі Oasis на DEX ValleySwap виникла серйозна проблема з девальвацією USDT, що призвело до великих втрат користувачів. Проблема виникла через недостатню ліквідність на вихідному ланцюзі кросчейн моста EVODeFi, який використовувався ValleySwap.
Хоча точна сума збитків невідома, оцінюється в десятки мільйонів доларів. На жаль, усі зацікавлені сторони намагаються уникнути відповідальності, і користувачі досі не отримали жодних компенсацій або рішень.
Horizon: втрати майже 100 мільйонів доларів, план компенсації все ще розробляється
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, внаслідок чого було втрачено приблизно 100 мільйонів доларів. Розслідування показало, що атака могла бути викликана витоком приватного ключа.
Команда Harmony пропонувала поступово компенсувати збитки користувачів протягом 3 років за рахунок емісії токенів ONE, але ця пропозиція не отримала підтримки спільноти. Наразі розробляється новий план компенсації.
Nomad: вкрадено 190 мільйонів доларів, частину коштів можна повернути
У серпні 2022 року кросчейн протокол Nomad зазнав серйозної безпекової аварії, що призвела до втрати 190 мільйонів доларів. Атака стала наслідком значної помилки під час оновлення контракту, яка дозволила будь-кому виводити кошти з моста.
Ця подія стосується великої кількості адрес, серед яких є й користувачі ENS доменів. Хоча офіційні органи ще не надали чіткий план компенсації, вже є кілька білих капюшонів, які висловили бажання повернути кошти, що приносить надію на остаточне вирішення.
Підсумок
Оглядаючи ці цілу низку значних атак на кросчейн мости, ми можемо побачити:
Кросчейн міст все ще є високоризиковою областю в екосистемі DeFi, навіть відомі проекти не застраховані від атак.
Причини атак різноманітні, включаючи вразливості контрактів, проблеми з управлінням правами, атаки соціальної інженерії тощо, команди проекту повинні всебічно посилити безпеку.
Фон проекту та фінансова спроможність є критично важливими для подальшої обробки. Сильні проекти зазвичай можуть швидко залучити кошти для компенсації, тоді як малі проекти можуть стикатися з труднощами.
Реальний моніторинг та швидка реакція можуть ефективно знизити збитки. Деякі проекти успішно уникли масових атак завдяки своєчасному виявленню та обробці підозрілої активності.
Користувачі повинні бути обережними при виборі кросчейн мосту, надаючи перевагу проектам з сильними позиціями та фондів, а також своєчасно звертати увагу на попередження та оновлення безпеки від проекту.